Wie Trojaner Spielkonten stehlen

Eine bestimmte Art von Malware hält Ausschau nach Anmeldeinformationen, einschließlich Konten für Gamingdienste wie Origin, Battle.net und Uplay.

Wir schreiben oft über die Online-Bedrohungen, denen Gamer ausgesetzt sind; dazu gehört beispielsweise versteckte Malware in Raubkopien, Mods und Cheats, sowie Phishing und alle Arten von Betrug beim Kauf oder Tausch von In-Game-Gegenständen. Vor nicht allzu langer Zeit haben wir bereits das Problem vom Erwerb gebrauchsfertiger Konten näher erläutert. Glücklicherweise ist es leicht, solche Bedrohungen zu vermeiden, wenn man sie kennt.

Doch es gibt eine weitere Gefahr, die Sie kennen und gegen die Sie sich verteidigen sollten: sogenannte „Password Stealer“ (dt. Passwortdiebe). Wenn unsere Sicherheitslösungen diese abfangen, werden sie gewöhnlich als Trojaner-PSW (o. Ä.) bezeichnet. Es handelt sich dabei um Trojaner, die darauf ausgelegt sind, Konten zu stehlen. Sie zielen entweder auf Benutzernamen und Passwort-Kombinationen oder die Sitzungs-Token des Benutzers ab.

Vielleicht haben Sie bereits mehr über Steam Stealer gelesen. Diese Trojaner stehlen Konten auf der weltweit beliebtesten Vertriebsplattform Steam. Aber es gibt noch viele andere Plattformen wie Battle.net, Origin, Uplay und den Epic Games Store. Sie alle haben ein Multimillionen-Dollar-Publikum. Für die Angreifer sind diese Dienste besonders verlockend; erklären tut dies die Existenz dieser Art von Trojanern.

Was sind Password Stealer?

Password Stealer sind eine Art von Malware, die Kontoinformationen stiehlt. Im Wesentlichen ähnelt sie einem Banking-Trojaner, doch anstatt eingegebene Daten abzufangen oder zu ersetzen, stiehlt der Password Stealer in der Regel bereits auf dem Computer gespeicherte Informationen: im Browser gespeicherte Benutzernamen und Passwörter, Cookies und andere Dateien, die sich zufällig auf der Festplatte des infizierten Geräts befinden. Oftmals sind Spielekonten auch nur eines der Ziele von Dieben, einige sind nämlich auch an Online-Banking-Anmeldedaten interessiert.

Stealer können sich Nutzerkonten auf vielerlei Weise bemächtigen. Nehmen wir zum Beispiel den Trojaner-Dieb Kpot (auch bekannt als Trojaner-PSW.Win32.Kpot). Die Verbreitung erfolgt hauptsächlich durch E-Mail-Spam mit schädlichem Anhang, der Sicherheitslücken (z. B. in Microsoft Office) ausnutzt, um die eigentliche Malware auf den Computer zu laden.

Dann überträgt der Stealer Informationen über die auf dem Computer installierten Programme an den Command-and-Control-Server und wartet auf weitere Befehle. Unter den möglichen Befehlen sind solche zum Stehlen von Cookies, Telegram- und Skype-Konten und vieles mehr.

Außerdem kann er Dateien mit der Endung .config aus dem %APPDATA%\Battle.net-Ordner entwenden, der, wie Sie sich denken können, mit Battle.net, Blizzards eigenem Launcher, verknüpft ist. Diese Dateien enthalten unter anderem das Sitzungs-Token des Spielers – d. h. die Cyberkriminellen erhalten nicht den eigentlichen Benutzernamen und das Passwort, aber sie können den Token verwenden, um sich als der Benutzer auszugeben.

Andere Malware, die auf Uplay, dem Launcher von Ubisoft, abzielt, trägt den Namen Okasidis; unsere Lösungen erkennen sie als Trojan-Banker.MSIL.Evital.gen. In Bezug auf Spielekonten verhält sich der Trojaner wie Kpot, außer dass er zwei spezifische Dateien stiehlt: %LO-CALAPPDATA%\Ubisoft Game Launcher\users.dat und %LOCALAPPDATA%\Ubisoft Game Launcher\settings.yml.

Interessant ist Uplay auch für eine Malware namens Thief Stealer (erkannt als HEUR:Trojan.Win32.Generic), die alle Dateien aus dem Ordner %LOCALAPPDATA%\Ubisoft Game Launcher\ ausfindig macht.

Darüber hinaus sind Uplay, Origin und Battle.net allesamt Ziele für die BetaBot-Malware (erkannt als Trojan.Win32.Neurevt). Aber dieser Trojaner hat eine andere Vorgehensweise. Wenn der Benutzer eine URL besucht, die bestimmte Schlüsselwörter enthält (z. B. alle Adressen mit den Wörtern „uplay“ oder „origin“), ermöglicht die Malware die Datenerfassung aus Formularen auf diesen Seiten. Das heißt, die auf den Seiten eingegebenen Benutzernamen und Passwörter für Konten gehen direkt an die Angreifer.

In allen drei Fällen ist es unwahrscheinlich, dass der Benutzer etwas bemerkt – der Trojaner zeigt sich in keinster Weise auf dem Computer, sondern stiehlt heimlich Dateien und/oder Daten.

Wie man sich vor Trojanern schützt, die nach Spielkonten trachten

Im Prinzip müssen Spielkonten genauso geschützt werden wie alles andere, auch gegen „Stealer“. Befolgen Sie die folgenden Ratschläge, um die Angriffe der Trojaner-Diebe zu vermeiden:

  • Schützen Sie Ihr Konto mit einer Zwei-Faktor-Authentifizierung. Steam hat Steam Guard, Battle.net hat Blizzard Authenticator, und der Epic Games Store bietet die Wahl zwischen einer Authenticator-App und der Authentifizierung per Textnachricht oder E-Mail. Wenn Ihr Konto durch eine Zwei-Faktor-Authentifizierung geschützt ist, benötigen Cyberkriminelle mehr als nur einen Benutzernamen und ein Passwort, um an Ihr Konto zu gelangen.
  • Laden Sie keine Mods von verdächtigen Websites oder raubkopierte Software herunter. Die Angreifer kennen sehr wohl das menschliche Verlangen nach Gratis-Software und beuten es durch Malware aus, die in Cracks, Cheats und Mods versteckt ist.
  • Verwenden Sie eine zuverlässige Sicherheitslösung. Zum Beispiel fängt Kaspersky Security Cloud alle genannten Stealer ab.
  • Schalten Sie Ihr Antivirusprogramm beim Spielen nicht aus. Wenn Sie dies tun, könnte plötzlich ein Stealer in Aktion treten. Der Spielmodus von Kaspersky Security Cloud verhindert, dass das Antivirenprogramm während eines Spiels zu viele Systemressourcen verbraucht. Die Lösung hat keine Auswirkungen auf die Leistung oder die Framerate, sorgt aber dennoch für Sicherheit.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.